BabaYaga
Descoperit si denumit ” BabaYaga ” de către echipa de securitate Wordfence, această infecție este deosebita pentru conținutul de cod capabil să-și înlăture competiția. BabaYaga are de fapt capacitatea de a elimina alt malware.
Funcția principală a malware-ului BabaYaga este de a genera conținut spam care să fie găzduit pe site-ul victimei.
Plățile pentru spammeri care-l folosesc sunt sub forma serviciilor de marketing afiliat. Când un vizitator uman ajunge într-o pagină infectată a site-ului după ce urmează un link dintr-o căutare, JavaScript încorporat execută o redirecționare rău intenționată la un site afiliat. Orice achiziție făcută pe site-ul de destinație generează venituri pentru atacator și în acest moment devine un joc de numere.
Fișierele primare ale infecției, responsabile pentru generarea conținutului spam, conțin fiecare câte o copie identică a aceluiași cod, dar obfuscată (ascunsă) cu tehnici diferite. Această redundanță îi oferă atacatorului un anumit nivel de asigurare că, dacă unul sau mai multe fișiere infectate sunt prinse și reparate, ar putea fi mai multe lucruri care au fost nedetectate.
Aceste fișiere prezintă o serie de funcții ale backdoor-ului care pot facilita lansarea unei reinfectări complete dacă există încă un singur fișier infectat.
Wordfence a publicat un document complet despre funcționarea și depistarea malware-ului BabaYaga
Sursa : https://www.wordfence.com